Centralizar & Organizar los mejores artículos de Seguridad informática.
16- Problemas de privacidad de WhatsApp con Google y Bing
La verdad es que de entre todas las formas posibles de espiar WhatsApp, estos problemas de indexación de WhtasApp en los buscadores Google y Bing son una gota de agua en un océano, pero aún así sirven para ilustrar cómo las fugas de información con datos de tu vida personal pueden estar en cualquier rincón inesperado.
Aprovechando que había estado mirando los problemas de indexación de Facebook en Google y Bing, quise comprobar cuántos otras empresas grandes estaban teniendo situaciones de confusión similares. Como ya expliqué en aquel artículo, el que haya que usar etiquetas X-Robots-tag en los servidores web, etiquetas Meta en las págginas HTML, los ficheros robots.txt y una cuenta de cada uno de los buscadores para pedir que elimine los documentos que se han indexado por error, me parece lo suficientemente confuso como para que muchas empresas tengan problemas con ello. Y lo he querido probar con WhtasApp.
 |
| Figura 1: El fichero robots.txt de WhatsApp.com |
Como se puede ver, en el fichero robots.txt de WhatsApp no hay mucho que rascar, pero aparecen dos URLs prohibidas lo suficientemente jugosas como para darle un vistazo a las URLs que se hayan quedado indexadas en los buscadores de alguna forma.
 |
| Figura 2: El patch indexado en Google |
De la URL de Android/Third_party no hay más que un patch con no demasiada información en él, pero ahí está, indexado en Google. De la siguiente URL sí que hay más jugo. Si buscamos por URLs con la ruta payments aparecen bastantes de ellas, y como se puede ver, muchas tienen el parámetro phone con el número de teléfono de la persona que acaba de comprar la app.
 |
| Figura 3: Rutas de payments con números de teléfono |
Si miramos el código fuente de cksum_pay vemos que no hay ninguna meta para evitar el cacheo de las páginas ni la indexación de las URLs, por lo que todos estos datos, cuando Google o Bing los indexan, quedan guardados en la base de datos.
 |
| Figura 4: Datos de campos hidden de cksum_pay.php |
Si revisamos el resto de URLs que aparecen dentro de la ruta payments del servidor web de WhatsApp, vemos que hay alguna de compra de una extensión del servicio, en la que se puede acceder también al número de teléfono de la persona que ha hecho la compra de dicho servicio.
 |
| Figura 5: Datos de una compra de extensión de servicio |
Por supuesto, como el mensaje de saludo y la fotografía son datos públicos en los servidores de WhatsApp, y sabiendo que este número ya tenía Whatsapp de antes, he hecho como con los teléfonos de las páginas de contactos adultos, y he ido a buscar a la persona que tenía su número indexado. Y ahí está.
 |
| Figura 6: Perfil Whatsapp de la persona indexada en Google |
En definitiva, creo que toda esta arquitectura de robots, metas y demás parches para controlar lo que se debe indexar o no en los buscadores de los sitios es un poco lioso y puede generar problemas a muchas grandes empresas que no hayan tenido en cuenta eso, que esa URL que envias a tus clientes puede ser tu perdición. En este caso son pequeños detalles de la privacidad de los usuairos de WhtasApp, pero viendo el interés que tiene todo el mundo en la seguridad de Whatsapp, probablemente pueda ser aprovechado por alguien de alguna manera…
Saludos Malignos!
Publicaciones Anteriores
Publicaciones Siguiente
Los comentarios están cerrados.
